#rsETH攻击事件后续进展 L'attaque du pont cross-chain rsETH de Kelp DAO est la plus grande incident de sécurité DeFi depuis 2026, entraînant une perte d'environ $ETH 2,92 milliards de dollars d'actifs.

L'attaque a eu lieu vers 17h35 UTC le 18 avril 2026, lorsque le hacker a exploité une vulnérabilité de configuration du pont cross-chain basé sur LayerZero de Kelp DAO (utilisant une configuration de nœuds de validation décentralisés 1/1), en falsifiant un message cross-chain, et a créé de toute pièce environ 116 500 jetons rsETH sans actifs réels en garantie sur le réseau principal Ethereum.

Ces « actifs d’air » ont été rapidement déposés dans des protocoles de prêt majeurs tels qu’Aave, Compound, Euler, en tant que garanties, permettant d’emprunter environ 236 millions de dollars en WETH/ETH réels, Aave étant exposé à un risque de créance douteuse pouvant atteindre 177 à 196 millions de dollars.

Kelp DAO a rapidement suspendu le contrat rsETH sur le réseau principal et plusieurs Layer2 environ 46 minutes après l’incident, empêchant toute tentative d’attaque supplémentaire. Mais la panique s’est rapidement propagée : la TVL d’Aave a chuté de 26,4 milliards de dollars à 18 milliards en 24 heures, soit une baisse de 32 %, et le prix du jeton AAVE a également reculé d’environ 18 %.

Cet incident a mis en lumière le risque systémique dans l’écosystème DeFi : un maillon faible dans la sécurité d’un système peut se transmettre via la composabilité à plusieurs protocoles, provoquant une réaction en chaîne. Bien que LayerZero recommande une configuration de validation décentralisée 2/3 ou plus, Kelp DAO a opté pour un mode de validation à point unique 1/1, considéré comme extrêmement risqué, qualifié de « mettre une serrure sur un coffre-fort bancaire ».

Actuellement, Kelp DAO et LayerZero sont en litige concernant la responsabilité, tandis que le hacker détient toujours pour environ 175 millions de dollars en ETH sur la blockchain Ethereum.